Die Antwort auf Ihre Frage hängt vom Kontext ab, in dem die Begriffe verwendet werden. Auf der höchsten Abstraktionsebene lautet der übergeordnete Begriff Informationssicherung , wobei die 5 Säulen sind:
li> Authentifizierung
Vertraulichkeit Nicht-Zurückweisung Um es klar auszudrücken: Authentifizierung und Autorisierung sind ein Aspekt der Informationssicherheit . Ziel ist es, die Säulen der Informationssicherung , insbesondere der Nicht-Ablehnung, mit einem hohen Maß an Vertrauen durchzusetzen.
Um weiter zu vertiefen, fallen beide Begriffe in die Informationssicherung und in die Assoziation , der Informationssicherheitsraum. hauptsächlich in:
- Identitätsmanagement (IdM) oder
- Identitäts- und Zugriffsmanagement (IdAM)
IAM ist der häufigere Begriff Besonders wenn Sie in der Regierung oder in großen Unternehmen arbeiten, in denen Sie normalerweise mehr als 10000 Identitäten finden. Informationen zu Ihrem Interesse finden Sie in den neuesten Richtlinien und Richtlinien des US-Verteidigungsministeriums (USA) und der National Cyber Security Centers (Großbritannien) hier bzw. hier.
Definitionen und Erklärungen
Identitäts- und Zugriffsmanagement (IdAM) ist ein Aspekt der Informationssicherheit und umfasst Technologien und Prozesse, einschließlich der beiden Begriffe in Ihrer Frage.
Identität Governance - ist ein Prozess in IdAM. Es ist das Management von Richtlinien, die Folgendes regeln:
- den End-to-End-Lebenszyklus (Erstellung / Änderung / Umzug / Lebensende) von Identitäten (Mensch) / Maschine / Künstlich) über heterogene Systeme hinweg.
- die Hierarchie des Zugriffs auf organisatorische Vermögenswerte, die etablierten Identitäten gewährt wird (natürlich entsprechend ihrer Rolle und Verantwortung gegenüber dem Unternehmen).
- Einhaltung der externen / internen Vorschriften wie ISO 27001, GDPR, HIPAA.
Es gibt andere Funktionen, aber diese 3 sind die wichtigsten, die ich glaube. In dieser Übung erstellen Sie eine Identität, z. B. einen Netzwerkfrequenzadministrator, und legen fest, über welche Berechtigungen diese Identität verfügen soll. Sie können auch bestimmen, welche Bereiche eines Gebäudes, welche Computer, welche Drucker, welches mobile Gerät diese Identität verwenden kann, oder sogar Gerätegruppen für einen bestimmten Identitätstyp sperren. Dies ist in der Tat die verwaltete Planung der Berechtigung, einer Identität zugeordnet zu werden. Auf dieser Ebene des Spiels spielen Ihre Geschäftsanalysten, Unternehmensarchitekten, Compliance-Spezialisten, Informationssicherheitsspezialisten und Informationsprüfer.
Zugriffsverwaltung - Ist das Analyse und Reaktion auf
- Verstöße gegen Zugriffsregeln - Welche Identität verstößt gegen die zugewiesene Zugriffsrichtlinie?
- Zugriffsrisiken, insbesondere Profilerstellung und Minderung dieser Risiken - Wie groß ist dieser Verstoß und wie reagieren wir darauf? Benötigt es weitere Analysen? Sollten diese katalogisiert und bekannten Angriffsvektoren usw. hinzugefügt werden?
- Anforderungen an die Echtzeitbereitstellung - Ist der Zugriff verfügbar? Das heißt, ist der Zugang zu Vermögenswerten rechtzeitig? Keine gute Gewährung des Zugriffs auf einen Vermögenswert 5 Tage überfällig.
Wie Sie sehen, ist die Zugriffskontrolle eng mit der Governance verbunden, da ein angemessener Zugriff (aus Sicht der technischen Implementierung der Informationssicherung) aus den Richtlinien abgeleitet wird, die bereits von der Identity Governance-Behörde innerhalb der Governance festgelegt wurden (und sollten) Unternehmen. In dieser Praxis liegt der Schwerpunkt auf der technischen Implementierung von Authentifizierungsdiensten, um mit einem hohen Maß an Sicherheit zu bestimmen, dass eine Identität der ist, für den sie sich ausgeben, und dass sie den Vorgaben der festgelegten Richtlinien entsprechen. Auf dieser Ebene spielen Ihre Cybersicherheitsspezialisten, Vorfall- und Reaktionsanalysten, Infrastrukturspezialisten (Netzwerk / Speicher / Datenbank), Pen-Tester, Plattformspezialisten, Softwarespezialisten und analytische KI.
Dies ist unangemessen Wenn Sie die Autorisierung und Authentifizierung isoliert betrachten, erkennen Sie stattdessen, dass es sich um Begriffe handelt, die in der Informationssicherung und Informationssicherheit weit verbreitet sind.